問題描述
某用戶反饋其企業(yè)網(wǎng)絡(luò)中�����,一臺USG6307E防火墻trust域內(nèi)的視頻會議終端與untrust區(qū)域的視頻會議做對接時出現(xiàn)閃斷的情況�,但是PC可以ping通untrust區(qū)域的視頻會議終端�����。
處理過程
一:首先源視頻會議終端可以通過撥號與目標(biāo)視頻會議終端建立短暫的鏈接且PC可以ping通目標(biāo)視頻會議終端的IP地址
可以確定內(nèi)網(wǎng)的網(wǎng)絡(luò)與untrust區(qū)域的視頻會議終端之間的網(wǎng)絡(luò)是互通的����。
二:通過登錄防火墻的web界面查看安全策略�����,發(fā)現(xiàn)安全策略是全放通的排除安全策略配置不合理導(dǎo)致視頻會議閃斷
三:查看NAT策略���,發(fā)現(xiàn)客戶配置的NAT是把trust區(qū)域地址映射到防火墻出接口的IP地址且這個接口放置在目標(biāo)視頻
會議終端所在的untrust區(qū)域下�,排除NAT配置錯誤導(dǎo)致視頻會議閃斷
四:登錄web界面查看ASPF的一個勾選情況�����,發(fā)現(xiàn)客戶在配置ASPF時沒有針對視頻流做偵聽
五:在防火墻的用戶視通下查看防火墻的一個會話狀態(tài)
命令是:display firewall session table verbose destination global x.x.x.x
可以看到去往目的視頻終端的地址有一個h225協(xié)議的表項(xiàng),然后從圖中看可以看出去程包有6個����,回程包有16個,結(jié)合視頻會議可以連接幾秒說明撥號的過程是可以建立的
���,然后查看ASPF沒有勾選RTCP協(xié)議判斷是沒有開啟RTCP偵聽的原因�����。
六:在ASPF頁面勾選上RTCP���,在防火墻診斷視圖下reset firewall server-map ip x.x.x.x(目的視頻終端的地址)
七:重啟視頻會議終端,視頻會議建立穩(wěn)定
根因
防火墻在兩個區(qū)域間做視頻會議流量轉(zhuǎn)發(fā)時沒有在ASPF中開啟RTCP偵聽�,導(dǎo)致視頻會議的流量不能正常轉(zhuǎn)發(fā)
解決方案
當(dāng)有視頻流量在防火墻上轉(zhuǎn)發(fā)是,在防火墻web界面上的ASPF選項(xiàng)頁面勾選RTCP�����,刷新防火墻的server-map���,重啟視頻會議終端問題解決
